A Microsoft alerta para um novo malware baseado em USB que visa utilizadores de criptomoedas

A Microsoft alertou sobre um malware que se espalha através de drives USB que usam ficheiros de atalho do Windows para infectar dispositivos. O chamado malware “clipper” procura endereços de criptomoedas na área de transferência e substitui-os por outros controlados pelos atacantes.

• Principais pontos:
• • O Microsoft Defender identificou um novo malware USB que expõe transações de bitcoin ao roubo.
• • O script rouba frases-semente de 12 ou 24 palavras, ameaçando a segurança de carteiras tron e monero.
• • A Microsoft recomenda aos utilizadores bloquear os atalhos para impedir que o malware se espalhe através de drives removíveis.

Microsoft Alerta Sobre Malware no Windows que Altera Endereços de Criptomoedas

A equipa por trás do Microsoft Defender, a ferramenta de segurança contra malware e vírus integrada no Windows, alertou para uma nova ameaça que usa atalhos para infectar dispositivos, principalmente através de drives USB.

O malware substitui ficheiros em dispositivos de armazenamento removível por atalhos (.lnk) que ativam a infecção ao serem executados, toma medidas contra possíveis varreduras e eliminações por software antivírus, e usa comunicação anónima via Tor para evitar detecção.

Ao mesmo tempo, o malware propaga-se copiando-se para quaisquer drives USB inseridos num computador infetado. Também executa um processo que pode realizar várias tarefas, incluindo alterar os endereços copiados pelos utilizadores para a área de transferência do dispositivo infetado.

O malware, que funciona continuamente no dispositivo afetado, escaneia a memória em busca do que a Microsoft chama de “artefactos financeiros de alto valor”, detectando frases-semente BIP39 de 12 ou 24 palavras na área de transferência e enviando-as aos atacantes, juntamente com cinco capturas de ecrã para fornecer contexto sobre o conteúdo da carteira e os fundos nela contidos.

Além disso, o clipper de criptomoedas escaneia por endereços de projetos populares, incluindo bitcoin, tron e monero, na memória a cada 500 milissegundos.

Se encontrar algum, assume que o utilizador está a copiá-lo para realizar uma transação e substitui-o por um endereço semelhante, mas que está sob controlo do atacante para tomar posse dos fundos enviados pelos utilizadores no dispositivo infetado.

“Esta família de malware mostra como os ladrões baseados em scripts e leves podem ter um impacto desproporcional quando combinados com comunicações anónimas e tarefas em tempo de execução,” destacou a equipa do Microsoft Defender.

Para mitigar infecções, a equipa recomenda desativar a execução automática de conteúdos em todos os meios removíveis e bloquear a execução de atalhos de drives removíveis, que foram identificados como os principais vetores de propagação do malware.